Sicherheitslücken: Eine Million Patienten von Datenleck betroffen

Das Gesundheitsportal Doccirrus wirbt mit einem Datensafe und Ende-zu-Ende-Verschlüsselung, doch Forscher konnten Daten aus Arztpraxen dennoch abrufen.

Artikel veröffentlicht am ,
Gesundheitsdaten sollten besonders gut geschützt werden.
Gesundheitsdaten sollten besonders gut geschützt werden. (Bild: mcmurryjulie/Pixabay)

Das Gesundheitsportal Doccirrus speichert Patientendaten vermeintlich sicher in einem "Datensafe Ihrer Arztpraxis". Patienten sollen die Daten dann Ende-zu-Ende-verschlüsselt über das Gesundheitsportal aus dem Datensafe der Arztpraxis abrufen können. Dem Kollektiv Zerforschung gelang es jedoch, alle Patientendaten unverschlüsselt abzurufen.

Stellenmarkt
  1. CAD/CAM Programmierer (w/m/d)
    AIXTRON SE, Herzogenrath
  2. Projektkoordinator (m/w/d)
    Packsize GmbH, Herford
Detailsuche

Ein erstes Problem stellten die Sicherheitsforscher fest, indem sie Entwicklertools im Browser öffneten und bei einem Besuch der Praxiswebseite auf Doccirrus feststellten, dass nicht nur die ausgegebenen Informationen übertragen werden, sondern auch die Zugangsdaten zum E-Mail-Postfach der Praxis. Dort konnten alle E-Mails eingesehen werden, die die Praxis bekommt - inklusive privatester Informationen der Patienten.

Nicht besonders sicherer Datensafe

Auch mit dem Schutz der Daten auf dem Datensafe genannten Rechner in der jeweiligen Arztpraxis ist es nicht weit her. Über das Gesundheitsportal von Doccirrus können die Patienten ihre Daten auf dem sogenannten Datensafe anfordern. Das Portal agiert dabei als Proxy: Damit es die übertragenen Daten nicht mitlesen kann, sollen sie Ende-zu-Ende-verschlüsselt werden.

Die Sicherheitsforscher warfen wieder die Entwicklertools des Browsers an und riefen Dateien ab. Dabei wurde die Liste der Dokumente mit IDs und Abruflinks verschlüsselt übertragen - allerdings nicht die Dokumente selbst.

Golem Karrierewelt
  1. Container Technologie: Docker und Kubernetes - Theorie und Praxis: virtueller Drei-Tage-Workshop
    14.-16.12.2022, virtuell
  2. Entwicklung mit Unity auf der Microsoft HoloLens 2 Plattform: virtueller Zwei-Tage-Workshop
    10./11.10.2022, Virtuell
Weitere IT-Trainings

"Damit die Liste verschlüsselt werden kann, sendet der Browser mit, an wen verschlüsselt werden soll. Ganz naiv probieren wir aus, was passiert, wenn wir diese Information weglassen. Wir hätten erwartet, dass der Server hier einen Fehler anzeigt und wir nicht weiter kommen - doch stattdessen wird die Anfrage einfach beantwortet. Unverschlüsselt", schrieb Zerforschung.

Daten aller Arztpraxen konnten abgerufen werden

Anschließend stellten die Sicherheitsforscher fest, dass sie sich nicht nur eine Liste ihrer eigenen Dokumente, sondern alle Dokumente der Arztpraxis ausgeben lassen konnten: "Krankschreibungen, ausgestellte Rezepte, Diagnosen, Überweisungen an andere Ärzt*innen... wirklich ALLES." Auch eine Liste aller Patienten konnten sie sich anzeigen lassen, inklusive Name, Adresse, Geburtsdatum, Telefonnummer und E-Mail-Adresse, teilweise auch die verordneten Medikamente sowie den Versicherungsstatus mit Versicherung und Versicherungsnummer.

Die Rechnungen, welche die Praxis stellte, sowie die Einträge in der Patientenakte und Zertifikate für die Kommunikation mit dem TI-Konnektor, der für die Abrechnung mit den Krankenkassen verwendet wird, waren ebenfalls einsehbar. Später fanden die Forscher heraus, dass sie auf dem Proxy beliebige Aktionen mit Administratorrechten ausführen konnten.

Die genannten Daten konnten jedoch nicht nur bei der einen Arztpraxis abgerufen werden, mit der die Sicherheitsforscher ihre Tests begannen, sondern bei allen Praxen, die Kunden bei Doccirrus sind - ein riesiges Datenleck, von dem circa eine Million Patienten betroffen sind.

ISO-Zertifikate sorgen nicht für Sicherheit

Die gefundenen Sicherheitslücken gehörten mit zu den trivialsten Lücken, betonte Zerforschung. "Fehler wie diese dürfen eigentlich nicht passieren und zeigen krasse Defizite in den Entwicklungs-Prozessen im Unternehmen auf. Da helfen auch ganz viele Zertifizierungen nicht - von denen das Unternehmen gleich eine ganze Reihe besitzt: ISO9001, ISO27001 und ganz viele verschiedene von der KBV. Doch bei keiner dieser Zertifizierungen wurde das Produkt tatsächlich kritisch überprüft."

Bei der Meldung habe das Unternehmen zwar betroffen reagiert und das Portal vorübergehend abgeschaltet. Von einer Information der Betroffenen, deren sensible und schützenswerte Gesundheitsdaten potentiell von Dritten eingesehen werden konnten, wisse man aber nichts, schrieb Zerforschung. Immerhin die Lücken sollen mittlerweile behoben sein.

Zerforschung fordert, die IT-Sicherheit gehöre bei Softwareherstellern ganz oben auf die Prioritätenlisten: "Wenn ein Produkt marktreif genug ist, um persönliche Daten zu speichern, muss es auch reif genug sein, diese für sich zu behalten."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


WalterSobchak 12. Aug 2022 / Themenstart

Die Fachkräfte sind alle längst weg. Bei der Bude ist aber bestimmt ganz toll...

Termuellinator 12. Aug 2022 / Themenstart

Ja, dass bei solchen voellig laecherlichen Totalausfaellen keine weitergehenden...

Extrawurst 12. Aug 2022 / Themenstart

Mein Vertrauen in dem vom Staat, Behörden und Krankenkassen gebotenen Datenschutz war eh...

Kommentieren



Aktuell auf der Startseite von Golem.de
Neue Grafikkarten
Erste Preise für Nvidias Geforce RTX 4090 aufgetaucht

Der US-Händler Newegg gibt einen Blick auf die Preise der Nvidia-Ada-Grafikkarten. Sie werden teurer als die Geforce RTX 3090 zuvor.

Neue Grafikkarten: Erste Preise für Nvidias Geforce RTX 4090 aufgetaucht
Artikel
  1. Smart Home Eco Systems: Was unterscheidet Alexa von Homekit von Google Home?
    Smart Home Eco Systems
    Was unterscheidet Alexa von Homekit von Google Home?

    Alexa, Homekit, Google Home - ist das nicht eigentlich alles das Gleiche? Nein, es gibt erhebliche Unterschiede bei Sprachsteuerung, Integration und Datenschutz. Ein Vergleich.
    Eine Analyse von Karl-Heinz Müller

  2. Hideo Kojima: Es sollte ein Death-Stranding-Spiel für Google Stadia geben
    Hideo Kojima
    Es sollte ein Death-Stranding-Spiel für Google Stadia geben

    Hideo Kojima arbeitete am Exklusivtitel für Stadia. Das wurde vorzeitig eingestellt, auch weil Google nicht an Einzelspieler-Games glaubte.

  3. Superbase V: Zendures Solarstation mit 6.400 Wh kommt mit hohem Rabatt
    Superbase V
    Zendures Solarstation mit 6.400 Wh kommt mit hohem Rabatt

    Vor dem Verkaufsstart über die eigene Webseite verkauft Zendure seine Superbase V über Kickstarter - mit teilweise fast 50 Prozent Rabatt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Razer DeathAdder V3 Pro 106,39€ • Alternate (u. a. Kingston FURY Beast RGB 32 GB DDR5-6000 226,89€, be quiet! Silent Base 802 Window 156,89€) • MindFactory (u. a. Kingston A400 240/480 GB 17,50€/32€) • SanDisk microSDXC 400 GB 29,99€ • PCGH-Ratgeber-PC 3000 Radeon Edition 2.500€ [Werbung]
    •  /